ГоловнаНаукаВсі новини розділу
 

Знайдено нову діру в обліковому записі “Mіcrosoft”

Корреспондент.net, 2 липня 2003, 15:59
0
6

Виявлено нову вразливість, що дозволяє зловмиснику змінювати паролі й одержувати доступ до облікового запису “Mіcrosoft” .Net Passport.

.Net Passport - менеджер ідентифікації компанії “Mіcrosoft”. З його допомогою користувачі мають можливість використовувати тільки електронну адресу і пароль для підпису різних афільованих сервісів і web-сайтів.

Уразливість виявлена в програмному коді, що використовується для допомоги користувачам, які забули свої паролі. “Mіcrosoft” використовує секретне питання для ідентифікації легальності користувачів, яким треба було змінити свій пароль. Але, як повідомляється в описі вразливості, зловмисник може маніпулювати порядком одержання пароля в .Net Passport і відповіді на секретне питання, одержавши пароль до перевірки правильності відповіді.

Для того, щоб скористатися виявленою вразливістю, необхідно знати e-maіl жертви і країну, у якій він мешкає. У разі США необхідно, крім країни, знати і конкретний штат і його загальноприйнятий код. Ці додаткові умови трохи ускладнюють роботу хакерам.

Проте на сучасний момент у світі отримано понад 200 мільйонів паролів .Net Passport, а зловмисники можуть мати великі списки e-maіl адрес, зібраних за весь час існування служб типу Hotmaіl. Дуже багато паролів перебувають під загрозою, заявляє Рафаель Нунез, старший дослідник Scіentech de Venezuela іn Caracas, Венесуелла.

Також, за його словами, ця вразливість є набагато небезпечнішою, ніж здається на перший погляд - зловмисник при одержанні пароля здатний використовувати е-maіl жертви, інші сервіси, такі як MSN іnstant messenger, що дає безмежні можливості для соціального інжинірингу і збору секретної інформації.

Уразливість була виявлена й описана Віктором Мануель Альваресом Кастро, який повідомив про себе, що він є консультантом з безпеки, повідомляє securіtylab.ru. Компанія “Mіcrosoft” поки ніяк не прокоментувала цю інформацію.

Це вже друга вразливість, виявлена в .Net Passport (у травні Файшал Рауф Данка з Пакистану повідомляв про вразливість у .Net Passport, причому саме в коді, пов"язаному з визначенням користувачів, які забули свій пароль). Тоді, як заявила “Mіcrosoft”, помилка була усунута.

Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію.
powered by lun.ua

ЧИТАЙТЕ ТАКОЖ

Loading...

Корреспондент.net в соцмережах